Cloud e sicurezza

Se sulla nuvola non ci sono solo cloud consumer e cloud provider banda larga e safety e security si confermano i veri nodi al pettine del business.

Così come lo intende Maurizio Mayer, il cloud computing rappresenta «un modo diverso di vendere servizi ICT a imprese e Pubbliche amministrazioni sulla base di tecnologie consolidatesi negli scorsi anni» con nomi che, nel caso di time sharing, grid computing e ASP, appaiono ormai "vetuste".

Qui, per il presidente dell'Associazione per la Tecnologia dell'Informazione e delle Comunicazioni, «la parola chiave è “pay per use» in una logica di “supermercato dell'ICT” in grado di differenziare radicalmente l'outsourcing da quel che, invece, accade sulla nuvola.

Nel primo caso, «l'azienda cede in toto i propri sistemi informativi o la gestione degli stessi a un provider esterno» è l'opportuna precisazione. Nel secondo la medesima azienda può, ad esempio, «decidere di affidare a un fornitore paghe e stipendi, a un altro il bilancio e a un terzo la Business intelligence corrispondendo a ciascuno un pagamento in base al reale utilizzo dei servizi stessi».

L'architettura di riferimento, ripresa da Mayer in base alle definizioni messe a punto dal NIST (National Institute of Standard Technologies), parla di servizi di base, o Infrastructure as a Service, che «consentono di delegare la gestione delle risorse fisiche necessarie, come server, storage e reti».

Oltre ai servizi di livello più basso, la modalità indicata come Platform as a Service comprende, invece, anche la gestione della piattaforma software «per consentire lo sviluppo applicativo», mentre il Software as a Service «si configura come la modalità più completa all'interno della quale il fornitore deve dispiegare applicazioni, che vanno poi manutenute e aggiornate così da essere considerate sicure».

Va da sé che, man mano che si sale nel livello di servizio, a crescere è anche la responsabilità di chi detiene il controllo (il provider) e con essa la necessità di sottoscrivere dei Service level agreement «che mettano per iscritto quello che l'utilizzatore si attende in termini di prestazioni dal tipo di servizio richiesto», oltre a quello che l'erogatore del servizio si impegna a onorare.

Metodiche e strumenti di misura da definire
Perché nell'ecosistema che popola la nuvola non ci sono solo i cloud consumer e i cloud provider.

Definiti i primi “persone e organizzazioni che hanno una relazione di business con uno o più cloud provider” e i secondi come “una persona, un'organizzazione o un'entità responsabile di rendere il servizio disponibile alle parti interessate”, il NIST è particolarmente attento a identificare anche il ruolo del cloud auditor.
Quest'ultimo è definito come “terza parte che possa condurre una verifica dei servizi, dell'esercizio dei sistemi informativi, delle prestazioni e della sicurezza dell'implementazione cloud”.

Accanto a questa figura, in ottica di intermediario, il cloud brokerè un'entità che gestisce l'uso, le prestazioni e l'erogazione dei servizi cloud e negozia le relazioni tra i cloud provider e i cloud consumer».

Infine, il cloud carrier è identificabile come “l'intermediario che fornisce la connettività e il trasporto dei servizi cloud dai cloud provider ai cloud consumer”.

Qui a entrare in gioco è l'annosa questione della banda larga (o della sua non completa presenza) in Italia, mentre sul dedalo di relazioni tra i diversi attori citati, «aleggia - non solo a detta di Mayer - un doppio problema di sicurezza riassumibile nelle eccezioni di “safety” e “security” e, quindi, comprensivo del bisogno di sicurezza per proteggersi sia da eventi accidentali, che dolosi».

Alla prima si risponde con prevenzione, duplicazione e diversificazione «volte ad assicurare continuità operativa in ottica di disaster recovery».
Alla seconda devono, invece, corrispondere sia una sicurezza fisica, che logica «da realizzare, in quest'ultimo caso, lavorando su riservatezza, integrità e autenticità, così da ottenere la tanto auspicata sicurezza delle informazioni». 

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here